PrevX 2.0. rilevazione SWREG.EXE

[GOLDRAKES]

ma alla fine di tutta questa discussione siamo giunti alla conclusione che swreg.exe è?

[murack83pa]

Quote:

Originariamente inviato da GOLDRAKES

@MURACK
Ricordi msnfix?

si confermo
anche msnfix usa swreg.exe

[Riverside]

Quote:

Originariamente inviato da GOLDRAKES

@MURACK .... Ricordi msnfix?

che ha MSNFix che non va?

Quote:

ma alla fine di tutta questa discussione siamo giunti alla conclusione che swreg.exe è?

Almeno, per ora, molto probabilmente, solo un falso positivo

[murack83pa]

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware


@ goldrakes: ti riferisci a quel 3d in cui veniva rilevato il backup di msnfix come infetto?

infatti: come poi ho avuto modo di controllare e come fattomi notare da riverside illo tempore, l'oggetto in questione che veniva rilevato come virus nn era msnfix in sè (come io erroneamente credevo) ma il backup creato da msnfix il quale evidentemente aveva rilevato ed eliminato qualke file infetto....

io ero infatti convinto che ciò che veniva rilevato come virus era msnfix....il che puo avvenire, vedasi ad esempio con asquared

[GOLDRAKES]

Quote:

Originariamente inviato da murack83pa

si confermo
anche msnfix usa swreg.exe

[deneb87]

Quote:

Originariamente inviato da Riverside

Tu hai sottolineato che disinstallando Combofix, viene rimosso anche quell’exe.
Presumo tu abbia eseguito un ulteriore verifica dopo la disinstallazione eseguendo una nuova scansione con PrevX CSI e che dall’esame del log generato, l’exe ritenuto infetto non venga più rilevato.
Mi confermi questo?.

Confermo che su entrambe le macchine, dopo aver disinstallato combofix con il comando combofix /u, sia con PrevxCSI, che con una ricerca del file sewreg.exe, non è saltato fuori nulla.

[Nuz]

Quote:

Originariamente inviato da Riverside

Almeno Nuz, ad un paio di conclusioni siamo giunti:
1) PrevX CSI (almeno fino a quando, Eraser, una volta stabilito che l'exe non è infetto, faccia in maniera che PrevX non lo rilevi più come tale) va fatto eseguire prima di far installare e far girare eventuali tool di rimozione ;
2) sarebbe, poi, utile, a questo punto, creare un apposito post, come Guida alla corretta disinstallazione dei diversi tool.

Quoto

Quote:

Originariamente inviato da Riverside

Una cosa ancora, Nuz: visto che anche MSNFix pare utilizzi swreg.exe, puoi, per favore, controllare se viene utilizzato, pure, da LiveKill Clean Messenger (il tool lo trovi nella Guida di rimozione virus da MSN Messenger)?

No, per lo meno non viene creato un eseguibile swreg.exe da LK nel sistema.

P. S. Ma il progetto LiveKill è stato abbandonato?

http://www.livekill.org/

Quote:

Google Translate:

Dopo una lunga discussione tra di noi,
Abbiamo deciso di non continuare il nostro progetto e per varie ragioni.
In particolare la nostra mancanza di tempo che ci impedisce di completare i progetti in tempo.
Cordiali saluti, il team di Live-Prod.

[Riverside]

Quote:

Originariamente inviato da Nuz

P. S. Ma il progetto LiveKill è stato abbandonato?

Evidentemente si lascio, ancora per un pò il tool in Guida e, poi lo toglierò.

Senti Nuz, per quanto riguarda il raccogliere in un unico post, le modalità di rimozione dei diversi tool, visto che di norma li provi tutti, ci pensi tu?.

[xcdegasp]

Quote:

Originariamente inviato da Riverside

Ne sei certo, socio??

Non lo dico io che quella roba è implementata in Windows XP.
In ogni caso, rispetto al mio post iniziale, PrevX (ho appena terminato di eseguire una nuova scansione), non rileva più nulla.

ma bastava una semplice lettura di:
http://www.castlecops.com/t188604-Po...EC_report.html

per avere la conferma che non è mai stato di Microsoft quel file come ben riportato dallo screen che hai pubblicato.
Ne su WinXP-pro e ne su WinXP-home quei file ci sono e questo a conferma che siano arrivati da programmi installati.

[Riverside]

Quote:

Originariamente inviato da murack83pa

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware

hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no??

[murack83pa]

Quote:

Originariamente inviato da Riverside

hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra

sisi, l'ho fatto girare poco fa, dopodicchè ho fatto girare prevx csi e nn mi ha rilevato nulla

ovviamente ho controllato se swreg.exe era li, al suo posto e c'era....

[murack83pa]

ora riscarico combofix e proviamo...no?

[xcdegasp]

Quote:

Originariamente inviato da Riverside

hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no??

sarà diverso il checksum ovviamente essendo due tool differenti useranno diverse versioni....

[Riverside]

Quote:

Originariamente inviato da xcdegasp

per avere la conferma che non è mai stato di Microsoft quel file come ben riportato dallo screen che hai pubblicato.

Questo, ormai, era definito.

Quote:

Ne su WinXP-pro e ne su WinXP-home quei file ci sono e questo a conferma che siano arrivati da programmi installati.

Evidentemente si Deg, lo avevo già detto in un mio precedente reply.
Ma siccome me lo ritrovo su ben tre P.C. (e su due, non ho mai installato, tool di rimozione), devo capire quale, tra i software che uso su tutti e tre i P.C., lo ha installato

Quote:

ma bastava una semplice lettura

Per lo meno, è quasi da escludere (ma anche questo già si sapeva), che sia un virus:

Quote:

Ran a VT check against swreg.exe:
AhnLab-V3 2007.5.4.0 05.04.2007 no virus found
AntiVir 7.4.0.15 05.04.2007 no virus found
Authentium 4.93.8 05.03.2007 could be a corrupted executable file
Avast 4.7.997.0 05.04.2007 no virus found
AVG 7.5.0.467 05.03.2007 no virus found
BitDefender 7.2 05.04.2007 no virus found
CAT-QuickHeal 9.00 05.04.2007 no virus found
ClamAV devel-20070416 05.04.2007 no virus found
DrWeb 4.33 05.04.2007 no virus found
eSafe 7.0.15.0 05.03.2007 no virus found
eTrust-Vet 30.7.3614 05.04.2007 no virus found
Ewido 4.0 05.04.2007 no virus found
FileAdvisor 1 05.04.2007 No threat detected
Fortinet 2.85.0.0 05.04.2007 suspicious
F-Prot 4.3.2.48 05.03.2007 no virus found
F-Secure 6.70.13030.0 05.04.2007 no virus found
Ikarus T3.1.1.7 05.04.2007 no virus found
Kaspersky 4.0.2.24 05.04.2007 no virus found
McAfee 5024 05.04.2007 no virus found
Microsoft 1.2503 05.04.2007 no virus found
NOD32v2 2239 05.04.2007 no virus found
Norman 5.80.02 05.04.2007 no virus found
Panda 9.0.0.4 05.04.2007 Suspicious file

[xcdegasp]

Premesso che si stanno evidenziando comportamenti noti anche nel passato dove guarda caso si instaura un ruolo "capo" ad un utente mis ento nella posizione di avvertire gli utenti interessati a ritornare sui loro passi.
Non è passato molto dal caso Francizio dove il clima di "camerata" è stato duramente criticato da me avvertendo gli inetressati.
Se si ripete si fa pulizia.

Discorso breve, chiaro, trasparente e molto conciso!


E' un forum aperto a chiunque, siamo una community (quindi non una camerata) e si ascolta e si aiuta qualsiasi persona della comunità, quindi dovete accettare anche IGOR!

[Nuz]

Quote:

Originariamente inviato da Riverside

Evidentemente si lascio, ancora per un pò il tool in Guida e, poi lo toglierò.

Senti Nuz, per quanto riguarda il raccogliere in un unico post, le modalità di rimozione dei diversi tool, visto che di norma li provi tutti, ci pensi tu?.

Per la guida ci penso, magari si può fare un post che raccoglie tutti i tool gratuiti di rimozione. Ovviamente dipende dal tempo a disposizione, se lo vuole realizzare qualcun altro io cedo tranquillamente il posto.

Quote:

Originariamente inviato da Riverside

hai installato MSNFix, hai fatto girare PrevX e non ha rilevato swreg.exe come infetto? .... o Eraser, nel frattempo, ha sistemato la cosa, oppure qualcosa non quadra ..... se proviene da Combofix si ed, invece, se proviene da MSNFix, no??

Quello contenuto in MSNFix è la versione 2. E poi c'è il discorso del checksum, come ha ricordato xcdegasp.

[Riverside]

Quote:

Quello contenuto in MSNFix è la versione 2. E poi c'è il discorso del checksum, come ha ricordato xcdegasp.

Bene, direi che siamo giunti alla conclusione che solo quello di ComboFix e, forse quello di SysClean, vengono riconosciuti come infetti.
Ora aspettiamo notizie da Eraser.
Suggerisco, almeno fino a quando la questione non verrà risolta (da Eraser) di far girare prima PrevX CSI e, solo dopo, ComboFix e SysClean (almeno non ci ritroviamo l'exe nei log).
Per la Guida, Nuz, io sarei propenso a raccogliere tutte le informazioni relative alla disinstallazione dei tool, in un unico post, da pubblicare qui.
Poi, Deg, stabilirà la collocazione più corretta (spostando il post una volta completato) nell'ambito del forum.
A meno che non si voglia aprire una nuova, apposita discussione (sentiamo cosa dice Deg in proposito).

[murack83pa]

Quote:

ora riscarico combofix e proviamo...no?

si, combofix crea swreg.exe che viene puntualmente rilevato come infetto da prevx csi

ho notato che combofix crea anche un programma di backup, erunt, la cui cartella si posiziona in c:\windows, e che ho scoperto in giro in internet essere proprio un tool x creare backup (infatti ho notato che la cartella pesava circa 170 mb)

la corretta procedura di rimozione è quella indicato da nuz, cioè start->esegui->combofix /u

xchè solo cosi si cancellano tutti gli exe creati da combofix, ed è necessario riavviare il pc

[GOLDRAKES]

Quote:

Originariamente inviato da murack83pa

EDIT: msnfix crea questo benedetto swreg.exe, ho fatto girare prevx csi e nn me l'ha rilevato come malware


@ goldrakes: ti riferisci a quel 3d in cui veniva rilevato il backup di msnfix come infetto?

infatti: come poi ho avuto modo di controllare e come fattomi notare da riverside illo tempore, l'oggetto in questione che veniva rilevato come virus nn era msnfix in sè (come io erroneamente credevo) ma il backup creato da msnfix il quale evidentemente aveva rilevato ed eliminato qualke file infetto....

io ero infatti convinto che ciò che veniva rilevato come virus era msnfix....il che puo avvenire, vedasi ad esempio con asquared

sis proprio lui ho detto cio' perchè a quanto pare non tutti i tool di rimozione sono puliti , come avevo affermato in passato

[xcdegasp]

a questo punto è giusto, quando si indica l'uso di combofix, indicare anche la corretta procedura per rimuoverlo